Как правильно хранить свои монеты на различных онлайн-сервисах? Какие из них надежнее? Это вторая из серии статей, посвященных безопасности ваших цифровых сокровищ. Об общих принципах безопасности биткойнов можно почитать в предыдущей статье.
Xранение биткойнов в онлайн-сервисах
Описывая все способы хранения цифровых монет, сразу начнем с наименее надежных. Это онлайн-сервисы обмена валют (биткойн-биржи), так называемые “биткойн-банки” и онлайн-кошельки.
Почему эти сервисы наименее надежны? Во-первых, отдавая свои биткойны онлайн-сервису, вы принимаете на себя риск того, что они их вам просто-напросто не отдадут обратно.
Большинство из этих сервисов анонимны – известны лишь ники их владельцев, так что, в случае чего, вы вряд ли сможете получить с кого-то ваши деньги. Даже если владелец сервиса хорошо известен, чаще всего это небольшая компания-стартап, не обладающая существенными ресурсами и не застрахованная от того, что что-нибудь пойдет не так и сервис исчезнет, возможно, и с деньгами пользователей. Наконец, есть и откровенные мошенники, которые убеждают доверчивых пользователей, что у них биткойны будут в полной безопасности, а потом просто-напросто смываются с вашими монетами. Прецеденты этого были неоднократно.
Даже если у сервиса отличная репутация, он может быть просто взломан, как обычный банк. Причем, именно онлайн-сервисы крайне подвержены хакерским атакам, и вот почему. Почти все они держат существенное количество биткойнов в так называемом “горячем кошельке” (hot wallet) – запасе доступных для вывода монет на подключенном к сети компьютере. Это делается для того, чтобы пользователи сервиса могли оперативно вывести свои монеты, но такой запас доступных биткойнов также неудержимо влечет к себе хакеров, которые не остановятся ни перед чем, чтобы взломать сервис и заполучить монеты.
Действительно, подавляющее большинство известных крупных краж биткойнов происходило именно из “горячих кошельков” онлайн-сервисов. Это и недавний взлом сервиса Inputs.io, и кража с сервиса Bitconica в июле 2012, и взлом Linode в марте 2012, и кража с онлайн-биржи Bitfloor в сентябре 2012. Ни в одном из этих случаев пользователи не получили 100% своих средств обратно, а зачастую лишились всех монет, что они держали во взломанном сервисе.
Итак, общая рекомендация – как можно меньше доверять онлайн-сервисам. Да, зачастую они удобны и даже кажутся более безопасными, чем хранение биткойнов на своем компьютере (особенно для тех, кто не очень-то уверен в своих способностях самостоятельно обеспечить компьютерную безопасность). Но это только до того момента, как сервис взломали или он исчез с вашими деньгами.
Купили биткойны на онлайн-бирже или в сервисе – выведите их в свой оффлайн-кошелек. То же относится к остаткам на “майнинг-пулах” – обязательно настройте автоматический вывод своих шахтерских заработков, не накапливайте их на сервисе.
Наконец, помните об общих мерах безопасности, которые были освещены в предыдущей статье. Используйте разные, достаточно длинные и надежные пароли для онлайн сервисов. Обязательно включите 2-факторную аутентификацию (подтверждение по SMS или Google Autheticator), если ваш онлайн-сервис ее предлагает.
Биткойн-биржи
Как минимум один вид онлайн-сервисов используют практически все – это онлайн-биржи и онлайн-сервисы покупки/продажи биткойнов.
Не надо думать, что эти сервисы каким-то образом гарантированы от хакерских атак. Даже крупнейшая онлайн-биржа мира MtGox в 2011 году стала жертвой взлома и кражи биткойнов, хотя она и приняла все потери на себя, и никто из ее пользователей не лишился монет. Не так повезло пользователям онлайн-биржи Bitfloor, которые лишились после взлома всех своих монет.
Общая рекомендация по работе с биржами – не держите там крупные суммы. Купили биткойны – выведите в свой оффлайн-кошелек все, что вы не используете для “краткосрочной торговли”. Продали биткойны – не стоит оставлять большие остатки и в обычной валюте. Береженого бог бережет.
Пользуйтесь услугами крупных бирж, которые существуют давно, у всех на виду, имеют большие обороты. Вот список главных биткойн-бирж мира, с указанием 30-дневного совокупного объема их торгов:
(1) BTC China (Китай) объем торгов $298.4 млн (пара BTC/CNY)
(2) Mt.Gox (Япония) объем торгов $ 232.8 млн (пара BTC/USD)
(3) BitStamp (Словения) объем торгов $200 млн (пара BTC/USD)
(4) BTC-E (Болгария) объем торгов $119.8 млн (пара BTC/USD)
К сожалению, BTC China доступна только для тех, кто имеет юани, а у Mt.Gox в настоящее время бывают проблемы с выводом обычных валют (но не биткойнов) – так что на ней можно лишь покупать биткойны. Не слишком опытным пользователям, стоит ограничиться Bitstamp и BTC-E для покупки/продажи монет. Наилучшая русскоязычная поддержка также у BTC-E.
Из внебиржевых сервисов покупки/продажи монет наиболее длинная история и лучшая репутация у coinbase.com. К сожалению, покупка/продажа на этом сервисе доступна лишь для тех, у кого есть американский банковский счет.
Следует также упомянуть что покупка/продажа биткойнов доступна через обменники системы WebMoney, хотя комиссии там зачастую совсем не маленькие.
Онлайн-кошельки
Выше мы рассказали о том, почему онлайн-кошельки – не самая лучшая идея. Однако стоит признать, что они также обладают и рядом преимуществ. Вам не нужно ничего устанавливать на свой компьютер или смартфон. Вы можете получить доступ к этому кошельку с любого устройства (например, с мобильного устройства компании Apple, которая почему-то очень не любит Биткойн-приложения). Также онлайн-кошельки часто предоставляют дополнительные сервисы и удобства – так, coinbase.com имеет очень удобный интерфейс для мгновенных переводов между пользователями, а Blockchain.info предоставляет своим пользователям встроенный биткойн-миксер.
Далее, если вы не очень-то уверены в своих способностях самостоятельно обеспечить компьютерную безопасность, правильно установить биткойн-клиент на компьютере и защитить его от хакеров, хорошо известный онлайн-кошелек вроде Blockchain.info – далеко не самый худший вариант.
Онлайн-кошельки бывают двух основных типов: традиционные и гибридные. Примером традиционного кошелька является уже упоминавшийся coinbase.com. Этот тип сервиса очень похож на самый обычный онлайн-банкинг. Вы видите свои транзакции, сколько биткойнов поступило, сколько выведено или переведено. Сервис сам держит ваши биткойны, управляет секретными ключами, к которым они привязаны – вы можете только заводить и выводить биткойны с сервиса.
В отличие от coinbase, “гибридный” сервис Blockchain.info хранит ваш кошелек онлайн, но не имеет доступа к вашим биткойнам. На серверах Blockchain.info ваш кошелек лежит в зашифрованном виде и они не знают пароля, чтобы его расшифровать. Только вы знаете пароль, и когда ваш браузер загружает кошелек Blockchain.info, вы вводите пароль и получаете доступ к кошельку прямо в вашем браузере. Вы можете также получить с Blockchain.info для резервного хранения, так что если что-то вдруг случися с сервисом, ваши монеты не пропадут – вы сможете загрузить кошелек в оффлайн-клиент и получить к ним доступ. Этот “гибридный” подход позволяет сочетать удобство пользования онлайн-клиентом с надежностью собственного управления кошельком, так что если уж вы пользуетесь онлайн-кошельками, пользуйтесь именно гибридами, самым известным из которых как раз и является Blockchain.info.
Конечно, даже “гибридный” онлайн-кошелек – это все-таки не так же безопасно, как самому держать свои биткойны. Можно придумать хитрые сценарии, при которых особо продвинутый хакер загрузит на сервис свой JS код, который попытается перехватить ваш пароль, потом как-то исхитрится добыть ваш зашифрованный кошелек… Но в любом случае, риски таких сценариев на порядки меньше, чем те, которые вполне реальны для “традиционных” онлайн-кошельков.
“Биткойн-банки” и “инвестфонды”
Наконец, пара слов об активно рекламирующихся “биткойн-банках”, “биткойн-фондах” и т.п. Прежде всего, к настоящим банкам это никакого отношения не имеет, пока известен лишь один банк, который работает с биткойнами, да и тот пока только в Германии. Большинство этих “надежных сервисов” – в лучшем случае, просто любители, которые мало разбираются в том, за что берутся (как это было в случае с Inputs.io), а в худшем случае – это мошенники и разводилы.
На предложения типа “поуправляем вашими монетами”, “возьмем в долг и вернем с большими процентами”, или “удачно инвестируем ваши биткойны!” разумнее всего отвечать – “спасибо, не надо”. Биткойны сами по себе еще какая инвестиция, не жадничайте.
В дальнейших статьях этой серии, мы опишем различные виды оффлайн-кошельков, создание супер-надежного долгосрочного хранилища для ваших цифровых сокровищ, а также экстремальные методы обеспечения безопасности монет для абсолютных параноиков.
